Es war einmal, ich träumte davon, Informationssicherheitsexperte zu werden, und stöberte fleißig auf verschiedenen Websites nach Schwachstellen. Mein größter Sieg war die Suche nach einer Sicherheitslücke im QIWI-Zahlungssystem, für die mir gute Entwickler 200 US-Dollar gaben. Infolgedessen wurde das entdeckte Problem erst 3,5 Jahre nach der Beschwerde gelöst, und danach wurde es möglich, dem Universum davon zu erzählen. Das Lustige ist, dass ich diese Sicherheitslücke völlig zufällig entdeckt habe und Sie leicht an meiner Stelle sein könnten.
Im Jahr 2015 habe ich mit virtuellen QIWI-Debitkarten meine kleinen Schwester-Goodies bei AliExpress bestellt. Das System war einfach: Sie haben einen gewissen Geldbetrag auf Ihrem QIWI-Konto, klicken auf die Schaltfläche "Virtuelle Karte ausstellen" und erhalten Informationen für Zahlungen im Internet. Sie bekommen es auf knifflige Weise: Sie können etwas in der Weboberfläche sehen (die ersten und letzten 4 Ziffern der Kartennummer, Ablaufdatum), aber das Interessanteste kommt Ihnen per SMS (8 mittlere Ziffern der Kartennummer, CVV2). Sobald etwas schief ging: Die ersten und letzten 4 Ziffern der Kartennummer wurden immer noch in der Weboberfläche angezeigt, und plötzlich kamen sie zu SMS. Die restlichen 8 Zahlen mussten anscheinend telepathisch herausgefunden werden.
Ich bin eine einfache Person: Ich sehe ein Problem - ich beschwere mich beim technischen Support. Sehr schnell erhielt ich eine Antwort: „Dies ist ein vorübergehender Fehler, Experten beschäftigen sich mit der Lösung dieser Situation. Wir entschuldigen uns für etwaige Unannehmlichkeiten. " In Ordnung!
Nach ein paar Tagen funktionierte alles, aber nicht mehr so wie zuvor. Die ersten und letzten 4 Ziffern der Kartennummer wurden noch per SMS empfangen, und die Site zeigte jetzt die durchschnittlichen 8 Ziffern an.
Moment mal, was ist, wenn es ein Sicherheitsproblem gibt, dachte ich? Wie jeder Mensch aus einer Großstadt habe ich in meinem Leben alle möglichen Schecks gesehen. Sie geben normalerweise die letzten 4 Ziffern der Kartennummer an, was bedeutet, dass diese Daten kein Geheimnis sind. Sie werden auch häufig auf Websites angezeigt, auf denen Sie Ihre Kartendaten eingeben und speichern. Ein paar Mal sah ich Kassenbelege, auf denen auch die ersten 4 Ziffern angegeben waren. Als ich die Bankkarten meiner Familie betrachtete, stellte ich fest, dass sie alle das gleiche Präfix hatten. Also auch so lala geheim. Früher kamen geheime Daten per SMS, auf der Website wurden öffentliche Daten angezeigt, aber jetzt ist alles umgekehrt!
Ich setzte mich an den Computer und schrieb einen detaillierten Fehlerbericht an das SchwachstellensuchprogrammUnterwegs googeln Sie alle möglichen interessanten Dinge über Bankkartennummern. Mein Hauptgedanke war: "Alles war gut, aber es wurde schlecht." Nach 9 Monaten gaben sie mir Geld dafür und nach weiteren 2,5 Jahren haben sie den Fehler behoben und die Offenlegung der Geschichte erlaubt. Was können Sie tun, manchmal müssen Sie warten können! Bei der nächsten Iteration hat QIWI ein anderes Konzept angewendet, das mir bequemer und sicherer erscheint: Um alle Details auf der Site zu sehen, müssen Sie den Bestätigungscode aus der SMS eingeben.
Jeder hätte diesen Fehler bemerken und sich darüber beschweren können, auch Sie, lieber Freund. Wie Sie sehen, erforderte dies keine spezifischen Kenntnisse der Informationssicherheit und sogar eine spezielle Suche nach dem Problem, alles geschah fast von selbst.
Seien Sie Katzen, beschweren Sie sich bei Entwicklern über Schwachstellen und Fehler, und alles wird für alle in Ordnung sein!
Das Original wurde am 23.03.19 in meinem Blog veröffentlicht.
Wie ich eine Sicherheitslücke in QIWI gefunden und 200 US-Dollar verdient habe
All Articles